信息安全管理体系.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 文件审核 一般来说在现场进行； 检查ISMS框架是否符合BS7799-2条款3 检查方针、范围、风险评估、风险管理选择控制措施和适用性声明 审核员可能不深入地考察特定的程序，但期望足够的关于标准程序和工作指导的信息 注意：文件审核是BS7799审核的重要组成部分。 6.5 审核与认证 * 符合性审核 跟踪文件审核中的不符合项； 抽样验证ISMS的实施和运营，基本与ISO9001采取同样的方法——更集中——更深入； 审核组长提出推荐但不作最后的发证决定 组织必须在三个月内采取纠正措施针对在审核时有记录的文件上的不符合项； 6.5 审核与认证 * 证书 证书三年有效，除暂停，收回和取消外； 证书只限于BS7799，与其他管理体系证书分开； 证书包含一些特殊的词语而且参考审核时的适用性声明； 6.5 审核与认证 * 监督审核 认证公司必须进行至少一年一次的监督审核； 目标是两年一个周期覆盖认证的范围； 如果在审核中发现明显的一个或多个严重不合格项时认证公司可能会决定进行中间审核（如特殊访问） 6.5 审核与认证 * 复评（后续审核） 证书的有效期为三年 在三年结束时，如果进行重新审核且结果没有严重不符合项，认证公司可以将证书扩展一个新的三年周期； 6.5 审核与认证 * 目前只有基于BS7799-2的ISMS的认证机构 认证机构 6.5 审核与认证 BSI DNV SGS LRQA KPMG STQC Certification Services PSB Certification DQS BVQI National Quality Assurance SFS Certification * 7.信息系统安全保障管理要求 7.1现有信息安全管理存在的不足 7.2信息系统的使命 7.3 信息系统的安全保障级别 7.4 信息系统安全保障级别与管理能力成熟度级别的关系 7.5信息系统安全保障管理级别 7.6信息系统安全保障管理准则构成 7.7信息系统安全保障管理要求的管理域 7.8管理能力成熟度要求－举例 * 7.1 现有信息安全管理存在的不足 BS 7799的不足 管理内容框架 BS7799-2作为信息安全管理体系标准未被ISO组织接受 BS 7700 ISO17700也有其局限性 管理成熟度 缺点：最佳管理实践的堆砌，没有解决分级问题，不能完全满足信息技术的发展对于管理评估的要求。 各国有自己的国情 提出信息安全保障管理要求 管理内容： 信息系统安全保障管理的管理域：15个 管理成熟度： 《信息安全保障管理能力成熟度模型》：5级 * 7.2 信息系统的使命 信息系统使命类 信息特征 信息和信息系统价值 机密性 完整性 可用性 I B B B 对信息保障策略的违犯造成的负面影响和结果可以忽略。 II B M M 对信息保障策略的违犯会对安全、保险、金融状况、组织机构的基础设施造成不良影响和/或小的破坏。 III B M H 对信息保障策略的违犯会产生一定破坏 IV B H H 对信息保障策略的违犯会严重的破坏安全、保险、金融状况、组织机构的基础设施 V M H H 对信息保障策略的违犯会造成异常严重的破坏 * 7.3 信息系统的安全保障级别 使命类 威胁级别 T1 T2 T3 T4 T5 T6 I SAL1 SAL1 SAL1 SAL2 SAL2 SAL2 II SAL1 SAL1 SAL1 SAL2 SAL3 SAL3 III SAL1 SAL2 SAL2 SAL3 SAL3 SAL4 IV SAL2 SAL3 SAL4 SAL4 SAL4 SAL5 * 7.4 信息系统安全保障级别与管理能力成熟度级别的关系 信息系统安全保障级 技术 （主要安全产品EAL级） 信息系统 安全保障管理能力成熟度级别 信息系统 安全保障过程能力成熟度级别 SAL 1 EAL 1 SAM-CML 1 SAE-CML 1 SAL2 EAL 2 SAM-CML 1 SAE-CML 1 SAL3 EAL 3 SAM-CML 2 SAE-CML 2 SAL4 EAL 4 SAM-CML 3 SAE-CML 3 SAL5 EAL 5 SAM-CML 4 SAE-CML 4 * 7.5信息系统安全保障管理级别 等级 能力描述 SAM-CML 1 组织内部能够依据经验进行部